Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Зловреден софтуер EggStreme без файлове

Зловреден софтуер EggStreme без файлове

До Mezo през Зловреден софтуер, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Базирана във Филипините военна компания е станала жертва на сложна кибершпионска кампания, свързана с група за усъвършенствани постоянни заплахи (APT), за която се смята, че произхожда от Китай. Нападателите са използвали неизвестна досега безфайлова система за зловреден софтуер, наречена EggStreme, предназначена да поддържа дългосрочен, скрит достъп до компрометирани системи.

Рамката EggStreme: Многоетапна и безфайлова

EggStreme не е единичен злонамерен софтуер, а тясно интегрирана рамка от компоненти. Веригата му на заразяване започва с EggStremeFuel (mscorsvc.dll), който профилира системата, преди да внедри EggStremeLoader, за да установи постоянство. След това от EggStremeReflectiveLoader, който задейства основната задна вратичка, EggStremeAgent.

Безфайловото изпълнение на рамката гарантира, че злонамереният код се изпълнява изцяло в паметта, оставяйки минимални следи на диска. Освен това, използването на странично зареждане на DLL файлове по цялата верига на атаката усложнява откриването и криминалистиката.

EggStremeAgent: Централната нервна система

В основата на рамката се намира EggStremeAgent, напълно функционална задна вратичка, която действа като основен контролен център на нападателя. Тя позволява системно разузнаване, ескалация на привилегиите и странично движение, като същевременно използва EggStremeKeylogger за улавяне на натискания на клавиши по време на активни потребителски сесии.

Задната вратичка комуникира със своята командно-контролна (C2) инфраструктура чрез протокола Google Remote Procedure Call (gRPC) и поддържа зашеметяващите 58 команди, вариращи от извличане на данни и изпълнение на шелкод до инжектиране на полезен товар.

Един спомагателен имплант, EggStremeWizard (xwizards.dll), предоставя на нападателите възможности за обратна обвивка и прехвърляне на файлове. Дизайнът му включва множество C2 сървъри, осигурявайки устойчивост дори ако един от тях е нарушен.

Възможности на EggStremeFuel

Първоначалният модул, EggStremeFuel, е натоварен със задачата да разузнава и да установява комуникация с инфраструктурата на нападателите. Той позволява на операторите да:

  • Съберете информация за системното устройство.
  • Стартирайте cmd.exe и поддържайте комуникация чрез канали.
  • Предайте външния IP адрес на машината, като използвате myexternalip.com/raw.
  • Четене на локални и отдалечени файлове, запазване или предаване на тяхното съдържание.
  • Изхвърляне на конфигурационните данни от паметта на диска.
  • Прекъсвайте връзките, когато е необходимо.

Тактики, техники и инструменти

Злонамерените лица постоянно използват странично зареждане на DLL файлове, като стартират легитимни двоични файлове, които зареждат злонамерени DLL файлове. Те също така интегрират помощната програма Stowaway proxy, за да осигурят достъп във вътрешни мрежи. В комбинация с безфайловия процес на изпълнение на зловредния софтуер, тези техники позволяват операцията да се слее с нормалната системна активност и да избегне откриването от традиционните инструменти за сигурност.

Геополитически контекст и предизвикателства, свързани с атрибуцията

Нападенията срещу филипинските образувания от страна на свързани с Китай групи не са нещо ново и вероятно са повлияни от продължаващите териториални спорове в Южнокитайско море, включващи Китай, Виетнам, Филипините, Тайван, Малайзия и Бруней.

Въпреки че тази конкретна кампания не е била приписана на никоя известна китайска APT група, целите и интересите ѝ силно съвпадат с тези, исторически свързани с китайски държавно спонсорирани участници. Изследователите започнаха да проследяват активността в началото на 2024 г., но все още не са я свързали окончателно със съществуваща заплашителна група.

Постоянна и уклончива заплаха

Семейството злонамерен софтуер EggStreme се отличава с високо ниво на сложност, устойчивост и адаптивност. Разчитането му на безфайлови техники, многоетапно изпълнение и излишна C2 инфраструктура подчертава напредналите познания на операторите за съвременните защитни мерки. За защитниците тази кампания служи като напомняне за променящия се пейзаж на заплахите и важността на проактивните стратегии за откриване и реагиране.

Тенденция

Miaiw Qoaks от Suproa Tm Asjs

Потенциално нежелани програми, Рекламен софтуер, Похитители на браузъри
Защитата на вашето устройство от натрапчиви приложения е жизненоважна за осигуряване както на сигурността, така и на производителността. Сред многото потенциално нежелани програми (PUP),...

Най-гледан

Зареждане...